파이어아이의 취약점 통해 공격자들이 멀웨어 파일을 화이트리스트에 추가해

파이어아이의 취약점 통해 공격자들이 멀웨어 파일을 화이트리스트에 추가해

FireEye flaw enabled attackers to whitelist malware files

보안 연구원들이 파이어아이 분석 엔진에 멀웨어가 화이트리스트로 등록되도록 하는 취약점을 발견하였습니다. 

Blue Frost Security의 연구원에 따르면, 이 취약점은 공격자가 “윈도우에서의 FireEye의 가상 동적 분석을 완벽히 우회하며, 내부 화이트리스트에 임의의 바이너리를 추가하여 하루가 지나서 화이트 리스트의 항목이 모두 삭제되기 전까지 분석을 건너뛰도록” 허용 한다고 하였습니다. 

연구원들은 이 바이너리들이 가상실행엔진(VXE)으로 분석된다고 말했습니다. 

가상머신안에 멀웨어를 넣어둡니다. 하지만 분석을 시작하기 전 이 바이너리를 복사하는데 이름을 변경하는데 사용 된 윈도우 배치 스크립트의 버그 때문에 공격자는 복사 과정을 멈출 수 있으며, 따라서 엔진은 멀웨어가 없는 가상 머신을 보게되는 것 입니다. 

이후 탐지되는 악성 행위가 없기 때문에, MD5 해시가 화이트리스트에 추가되며, 더 이상의 분석을 진행하지 않는다. 이 MD5 해시는 24시간동안 화이트리스트에 남아있으므로, 공격자들은 발각 되지 않는 상태로 공격을 가할 수 있게 됩니다.

Blue Frost는 이 사실을 FireEye에 제보해 빠른 시간 내에 업데이트 하기를 권고하였으며, FireEye의 대변인은 SCMagazineUK.com에 이 버그는 지난 9월 제보 받았으며, 바로 다음 달 패치 한 상태라고 밝혔습니다.

출처 : 

http://www.scmagazine.com/fireeye-flaw-enabled-attackers-to-whitelist-malware-files/article/475585/